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PCT/DE00/00586 



From the INTERNATIONAL BUREAU 



PCT 

NOTIFICATION OF ELECTION 

(PCT Rule 61.2) 


To: 

Commissioner 

US Department of Commerce 

1 InitoH Qtotoc Patont anH TraHonriark 
UMIlcU olalcS ralclll oilU I laUciiiai*. 

Office, PCT 

201 1 South Clark Place Room 
CP2/5C24 

Arlington, VA 22202 
ETATS-UNIS D'AMERIQUE 

in its capacity as elected Office 


Date of mailing (day/month/year) 
12 January 2001 (12.01.01) 




International application No. 
PCT/DE00/00586 


Applicant's or agent's file reference 
F00-0432.PEM 


International filing date (day/month/year) 
02 March 2000 (02.03.00) 


Priority date (day/month/year) 
12 March 1999(12.03.99) 


Applicant 

NEHL, Roland 



1. The designated Office is hereby notified of its election made: 

| X | in the demand filed with the International Preliminary Examining Authority on: 

11 October 2000 (11.10.00) 



| | in a notice effecting later election filed with the International Bureau on: 



2. The election | X| 

□ 



was not 



made before the expiration of 19 months from the priority date or, where Rule 32 applies, within the time limit under 
Rule 32.2(b). 





Authorized officer 


The International Bureau of WIPO 


34, chemin des Colombettes 


Henrik Nyberg 


1211 Geneva 20. Switzerland 


Facsimile No.: (41-22) 740.14.35 


Telephone No.: (41-22) 338.83.38 



Form PCT/IB/331 (July 1992) 



DE0000586 



Bb.B9.Bl 46,BB,36 UhitefiCase,Fe 

PCT 

ANTRAG 



Def Unterzeichnete bcantragt, daO die vorliegendc 
Internationale Anmeldung nach dem Vcrtrag (ibcr die 
Internationale Zusammenarbeit auf dem Gebie( des 
Patent wescns behandclt wird. 



IniemaliortaJe* AJclenzeichert 



Internationales AnmeldedaCum 



Name des Anmetdcamts und "PCT International Application" 



FcW Nr. I BEZEICHNUNG DER ERFINDUNG 

Anonymisierungsverfahren 



Aklenicichcn des Anmdden oder Aiiwalu (falls gewunscht) 
(max. 12 lichen) ynq-(iL'\'? PEM 



Feld Nr. II ANMELDEK 



NimenrulAnschrifl (hamttienruime, Vorname, bd jurinischcn Person™ ^f^iHSr 
Stoat des Situs oder Wohnsitzes angegeben u/.J 

LOK Lombardkasse AG 
Gruneburgweg 102 
D-60323 Frankfurt am Main 



□ Diese Person ist 
gleichzeilig Erfinder 



Tekfonnr.: 



Telefaxnr.: 



Femschrcibiu.; 



StaaisangehorigkeU (Siaat): 



DE 



Sitz oder Wohnsilt (Staal): 



DE 



c im Zmai7.feld 



FddNr.UI WEITERE ANMELDER UND/ODER (WEITERE) ERFINDER 



t^^l^^l^S^PoSel^M und der Nan* des Slavs aniu S eben. Der m diesem Feld in der 
JA^SSaSS TdZYZt des Sines oder Wohnsities des Adders, sofent nachstehend kern 
Stoat des Sitzcs oder Wohnsitzes ange&eben tsi.) 

NEHL, Dr. Roland 
WiesenstraBe 33 
D-35789 Weilmunster 



Diese Person ist: 
[ \ nur Anrneldcr 

P^j Anrneldcr und Eifindcr 

□ nur Erfinder (Wird dieses Kostchen 
angekretat, so sind die nachsiehenden 
Angabtn aicht notig.) 



SiaaisangehorigWeit (Sual): 



DE 



Sitt oder Wohnsitz (Sttat): 



DE 



fur folgende Staaten: 



□ 



mung&suauji 



□ tile BesUmmy ngouaicn mil Ausnahme 
der Vercinigtcn-Staatcn von Amenk* 



0 



nur die Vcfciaigten 
Suiien von Aineriki 



□ 



die im Zusaizfeld 
angegebenen Siaaten 



□ 



Weitere 



Anmelder und/oder (weitere) Erfinder sind auf einem Fortseteungsblatl angegeben. 



Feld Nr. IV 



ANWALT ODER GEMEINSAMER VERTRETER; ODER ZUSTELLANSCHMFT 



N-e »«d Anschnfl: 

aniugeben) 

MAHLER , Peter 

Feddersea Laule Ewerwahn Scherzberg 
Finkelnburg Clemm 
Jungf ernst ieg 51 
D-20354 Hamburg 



Telefonnr.: 



T 5-1T : 40-350 05-210 




FotmbUlt PCT/RO/101 (BUlt I) (Juli 1998; Nachdrock jamur 1999) 



06.09.81 16,09,07 UhiteaCasejFa 



sen-> 
Blatt Nr. 



^1,9^583 BightFA 



Page 004 



FeJdNr. V BESTIMMLTNC VON STAATEN 



Regtanales Patent 

□ AP ARIPO -Patent 

□ EA 



Die feketfka Besucnraungeo rucfc Rt gel 4.9 Absau i wenfen hiermil vocgenornroea (bate die tntspitchtuU* Ktochen ankteuu*; wenigtons em Kastchen 
mtf tngetreuzt wtrdenf. 

AKir^-Patcnt: GH Ghana. CM Gambia, KE Kenia, LS Lesotho. MW Malawi, SD Sudan SZSwasiland. 
UG Uganda, ZW Simbabwe und jeder weilcre Staat, der Vertragssttat des Hara/e-Protokolls und des t^i ist 
Eunisisches Patent; AM Armenien. AZ Aserbaidschan, BY Belarus. KG Kirgisistan. KZ Kasachstan, MD Repubhk 
Moldau. RO Russische Federation. TJ Tadschikistan. TM Turkmenistan und jeder weitere Staat. der Vcrtragssiaai des 
Eurasischen PatenUibcreinkommens und des PCT ist 

EuropaUsches Patent: AT Gsterreich. BE Belgien. CH und LI - SchveU und Uechlenstein CY Zyj«n. 

lE lrUnd, ITIulkn, LU Luxemburg, MC Monaco, NL Niederlande.PT Portugal, SESchweden und jederwciiere Siaal, 
der Vertragsstaal des Europaischen Patentubereinkommens und des PCT ist 

OAPI-Patent: BF Burkina Faso. BJ Benin. CF Zeniralafrikanischc Republik, CG Kongo CI Cole dWe, 
CM Kamerun. GA Gabun. GN Guinea, GW Guinea-Bissau. ML Mali, MR Mauretamcr . NE Niger. SN ^Senegal 
TO TschTd, TG Togo und jeder weilcre Staat, der VertragssUat der OAPI und des PCT -st {falls tint andtrt Schutmchuan 

oStrein sonstiges Verfahrtn gewunscht wtrd, bate aujder gepunkteten Unit angebtn) - 

Nationales Patent {falls eine andtrt Schuttrtchisan odtr tin sonstiges Verfahrtn gewunscht wrrrf, bUtc auj der gepunkttU* Umt angebtn). 



1st 



EP 



□ OA 



□ 
□ 
□ 
□ 
□ 
□ 

□ 
□ 
□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

o 

□ 

□ 

□ 

□ 

□ 

□ 
□ 
□ 

□ 
□ 
□ 
□ 
□ 



Albanien □ 

Armenien □ 

Osurteich □ 

Australien □ 

Aserhaidschan □ 

Bosnien-Herzegowina □ 

Barbados O 

Bulgarien 

Brasilien □ 

Belarus □ 

(Canada □ 

CH und LI Schweiz und Liechtenstein □ 

CN China □ 

Kuba □ 

Tschechischc Republik D 

Deulscbland D 

Danemark - □ 

Estland □ 

Spanien □ 

Finnland - d 

Vereinigies Konigreich d 

Grenada D 



AL 
AM 
AT 
All 
AZ 
BA 
BB 
BG 
BR 
BY 
CA 



LS 
LT 
LU 
LV 



Lesotho . . . 
Lilauen 
Luxemburg 
Leuland 



CU 

cz 

DE 

DK 

EE 

ES 

FI 

GB 

GD 



GE Georgicn 
GH Ghana - 
GM Gambia 



□ 
□ 

o 



HR 

HU 

ID 

IL 

IN 

IS 

JP 

KE 

KG 

KP 

KR 
KZ 
LC 
LK 
LR 



Kroalien Q 

Ungam D 

Indonesien 

Israel 

Indicn 

Island 

Japan 

Kcnia 

Kirgisistan 

Demokratische Volksrcpublik Korea 



□ 

□ 
□ 
□ 
□ 



NZ 

PL 

PT 

RO 

RU 

SD 

SE 

SG 

SI 

SK 

SL 

TJ 



UA 
UG 
US 



MD Republik Moldau 

MG Madagaskar 

MK Die ehemalige jugoslawische Republik 

Mazedonien 

MN Mongolei 

MVV Malawi 

MX Mexiko 

NO Norwegen 

Neuseeland 

Polen 

Portugal 

Rumaruen 

Russische Foderation 

Sudan 
Schweden 
Singapur 

Slowcnien 

Slowakei 

Sierra Leone 

Tadschikistan 

TM Turkmenistan 

TR TUrkei 

TT Trinidad und Tobago 

Ukraine 

Uganda 

Vereinigte Staaten von Amerika 



UZ 
VN 
YU 
ZW 



Usbektstan 
Vietnam . . . 
Jugoslawien 
Simbabwe 



Republik Korea 
Kasachstan . . . 
Saint Lucia 
Sri Lanka 
Liberia 



Kasichen fur die Besiimmung von Suaten (filr die Zwecke cines 
naiionalen Patents), die dem PCT nach der Veroffeniltcnung 
dieses Formbtatts betgetreten sind: 



□ 
□ 
□ 



TQfwrgtichcr BeitlmmuaKn: Zujltrlich zv den oben genannten Betiimmungennia^ 



latum 



Erfclinsog bigl 

Qjeffel 4 9 Absau b aucn aiie anceren nacn ocm rv i zuiamgcu owuiiuuuii^h w ^ , 

^nuroingo^ die von dleaer Eiklinmg ausgenommcn *m± Oct Anmefcler erklln. <Ufl ^^^^^SuSd 
d^^Seiner Best^gunlSS^uiid j£de rustalichc Besjirnmunj die vor AbUuf von l5 Monaiefi ab^ ^J^g^nMng 
cue* bcttltigt wunJe, n*ch Ablauf dieser frist als vom Awne der zui&kgeoocwncnjdt. (Die ^^^f r a^J^J^urZ 
tifeiit durxKdie Einreichung tiner Mitteiiun*. in der dies* JUstimmunt wi *^ d "^E*t* f * 

dtr BertiUitwigsgebahr. DU BesUUigung m$ helm Anmcidecmi innerfatbder Frist von IS Monau n eingenen.) 



Formblau PCT/RO/IOI (Blact 2) (Januar 1999) 



5i>Ae Amerkungen lu diesem Aniragiformular 



0b.09.Bl 16,09,42 UhitefiCase.F 



sen-> ?,U819?5B3 BightFft: 

Blau Nr. . .3 . . . 



Page 0B5 



Fdd Nr. VI PRIORXTATSANSPRUCH 



PI Wciterc Priori&tsansprUchc tind tm Zusatzfeld angegeben. 



AnmcOdedaium 
der frilheren Anmcldung 
(Tag/Monat/Jahr) 



Zeile (I) 

12.03. 1999 
Zeile (2) 



Aktenzeichen 
dcr frilheren Anmeldung 



199 11 176.6 



1st die frtthere AnmeJdimg einc: 



rationale Anmeldung: 
Stoat 



regionale Anmcldung:* 
regionaJes Amt 



DE 



intemalionale Anmeldung 
Anmeldeamt 



Zeile (3) 



Das Anmcldcaim wird ersucht, *ine beglaubigie Abschrifl der oben in der (den) Zei!e(n> 



0 £V e S"^^^^ 

dem Ami ringereickt wo r den isr(sind). das fur die Zwtcke dieser internalionalen Anmeldung Anmeldeamt tstf 
• fails es sieh bei der fruheren Anmeldung urn eine ARIPO Anmeldung handeti. so mufi in dem Zusatrfeld mindestens ein Staat angegeben werden der 
M^fd%^r aW Parisir Verbandsiibereinkunft zum Schutt des gew/rbliehea Eigtntums is, und fiir den die fruhere Anmeldung etngeretcht wurde. 



FeldNr. VII INTERNATIONALE RECHERCHENBEHORDE 



Waal der internationilen Rerherchenbehdrde (ISA) 

(falls iwei oder mehr als z*>ei Internationale Rechcrchen- 
behbrden fur die Ausfiihrung der international™ Recherche 
luitandig sind. geben Sie die von Ihnen gewahfte Behoede an; 
derZweibuchsttsben-Cade knnn benutit werden). 

ISA/ 



Antraemuf Nutzung der Ergebnisse einer frUheren Recherche; Bezugnahme auf diese 
(Vuhere Recherche (fall s eine fruhere Recherche bei der international** Recherchenbehbrde 
beantrogi oder von ihrdurchgefiihrt warden ist): 

Datum (Tag/Monar/Jahr) Aktenzeichen Siaai (oder regionoles Ami} 



Feld Nr. VIII KONTROLLISTE; EINREICHUNGSSPRACHE 



Diese interna itonale Anmeldung enihalt 
die folgende Anzahl von BIS Item: 



Antrag 

Beschreibung (ohne 
Sequenzprotokolheil) 

Ampriiche 

Zusammenfassung 

Zeichnungen 

Sequenzproiokollteil 
der Beschreibung 

BlatUahl insgesaml 



3 

12 

1 
1 
4 



Abbttdung der Zeichnungen, die 
mil der Zu Mm men las sung 
veroffentlicht werden solUNr): 



21 



Dieser inlemationalen Anmeldung liegen die nachstehend angekrcuzten Unterlagen bei: 

1 . □ Blatt fiir die Gebiihrenberechnung 

2. Q Gesonderte umerzeichnete Vollmacht 

3. □ Kopie der allgemeinen Vollmacht; Aktenzeichen (falls vorhanden): 

4. Q Begrtindung fiir das Fehlen einer Unterschrift 

5. □ Prioritatsbeleg(e), in Feld Nr. VI durcri 

folgende Zcilennummer gekennzeichnet: 

6. □ Oberseizung dcr internalionalen Anmeldung in die folgende Sprache: 

7. Q Gesonderte Angaben zu hintcrtegten Mikroorganismen oder andercm biologischen Material 

8. Q Protokoll der Nucleotid- und/oder Aminosauresequenzen in computerlesbarcr Form 

9. □ Sonstigc (einzetn auffuhren); __ . — 



Sprache, in der die 
inicmalionale Anmcldung 
eingereichl wird: 



DE 



Feld Nr. IX UNTERSCHRIFT UfcS ANMELDERS ODER DES AN WALTS 

Der Name jeder unurzeicknenden Person istneben der Untenchrift zu wiederhoten, und es isi anzugeben. sofern sich dies nicht eindeutig 



ous dem Antrag ergibt, in welcher Eigenscttaft die Person unteneichnet. 



MAHLER, Peter 
Patentanwalt 



1 . Datum des tatsach lichen Eingangs dieser 
intemationalen Anmeldung: 


2. Zeichnungen 
| — 1 einge- 
1 1 gangen: 

r— | nicht ein- 
LJ gegangen: 


3. Gciuidcrtcs Eingangsdatum aufgrund nachtraglich. jedoch 
fristgerechi eingegangener Unterlagen Oder Zeichnungen 
zur Vervollstfindigung dieser intemationalen Anmeldung: 


4. Datum des frisigerechten Eingangs der angeforderten 
Richligsiellungen nach Artikel 1 1(2) PCT: 


5. Intenutionale Recriefchenbehdrdc fCA , I 6. | I Ob*rrnitUufigdei Re^rch^xe 

(falls zwei oder mehr zustdndig sind) ISA/ | I — 1 Zahlung derTfecheichengebuhf aufgeschoben 




1 Datum des Eingangs des Aktenenemplars 
1 beim Intenutioculen BUro: 



FormbliU PCT/RO/lOl (letztes Blatt) (Juli 1998; Naehdruck Januar 1999) Siehe Anmerhmgen zu dietem Aniragsformutor 



VERTfA UBER DIE INTERNATIONALE ^AMMENARBEIT 

AUF DEM GEBIET DES PATENTWESENS 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwatts 

1343 PCT 


WEITERES siehe Mitteilung uber die Ubermrttlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/DE 00/01294 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

26/04/2000 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

30/04/1999 


Anmelder 

ZF LEMFORDER METALLWAREN AG et al . 



Dieser Internationale Recherchenbericht wurde von der Internationalen Recherchenbehdrde erstellt und wird dem Anmelder gemaB 
Artikel 18 ubermittett. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser international Recherchenbericht umfaBt insgesamt _3 Blatter. 

PH Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berlchts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotide und/oder Amlnosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

| | in der internationalen Anmeldung in Schrrflicher Form enthalten ist. 

| | zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

I | Die Erklarung, daB das nachtraglich eingereichte schrrftliche Sequenzprotokoll nicht uber den Offenbarungsgehaft der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

I | Die Erklarung, daB die in computerlesbarer Form erfaBten Informationen dem schrfftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

| | Bestlmmte Anspruche ha ben slch als nlcht recherchlerbar erwlesen (siehe Feld I). 
| | Mangelnde Elnhertllchkert der Erflndung (siehe Feld II). 



2. 
3. 



Hinsichtlich der Bezelchnung der Erflndung 

|"X"| wird der vom Anmelder eingereichte Wortlaut genehmigt. 
| | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

| | wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 
| X | Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zelchnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. \ 



PH wie vom Anmelder vorgeschlagen Q^j keine der Abb. 

[ | weil der Anmelder selbst keine Abbildung vorgeschlagen hat 
| | weil diese Abbildung die Erfindung besser kennzeichnet 



Formblatt PCT/ISA/210 (Blatt 1) (Juli 1998) 



0? 



PATENT COOPERATION ^^ATY 

PCT 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 

(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference 
F00-0432.PEM 


fop ftththitd Ai~rinw See Notification of Transmittal of International 
* milk AC 1 1UN Pre , iminary Examination Report (Form PCT/IPEA/416) 


International application No. 

PCT/DE00/00586 


International filing date {day/month/year) 
02 March 2000 (02.03.00) 


Priority date (day/month/year) 

12 March 1999(12.03.99) 


International Patent Classification (IPC) or national classification and IPC 
H04L 9/00 


Applicant 


LOK LOMBARDKASSE AG 





This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of 



. sheets, including this cover sheet. 



I I This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability- 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 


12SJ 


II 


□ 


III 


□ 


IV 


□ 


V 


El 


VI 


□ 


VII 




VIII 


□ 



Date of submission of the demand 

11 October 2000 (11.10.00) 


Date of completion of this report 

07 March 200 1 (07.03 .200 1 ) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/IPEA/409 (cover sheet) (January 1994) 



w w 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 


International application No. 

PCT/DE00/00586 


I. Basis of the report 


1 . This report has been drawn on the basis of (Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 1 4 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 


| | the international application as originally filed. 






[Vj the description, pages 1-12 


, as originally filed, 




pages 


, filed with the demand, 




pages 


, filed with the letter of - 




pages 


, filed with the letter of - 




fyl the claims, Nos. 1-7 

V N 


, as originally filed, 




Nos. 


, as amended under Article 19, 


Nos. 


, filed with the demand, 




Nos. 


, filed with the letter of 




Nos. 


, filed with the letter of 




[S<1 the drawings, sheets/fig 1/4-4/4 


, as originally filed, 




sheets/fig 


, filed with the demand, 




sheets/fig 


, filed with the letter of 




sheets/fig 


, filed with the letter of 




2. The amendments have resulted in the cancellation of: 






|_ I the description, pages 






[ 1 the claims, Nos. 






1 1 the drawings, sheets/fig 






3 t f~n This report has been established as if (some of) the amendments had not been made, since they have been considered 
to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 


4. Additional observations, if necessary: 







Form PCT/IPEA/409 (Box I) (January 1994) 



4fe 

INTERNATIONAl^feLIMINARY EXAMINATION REPORlW 


Internatinnal nnnlir , ati/\« xi« 
iiil^i tiaiiuiiui djjjjiicdlion i\0. 

PCT/DE 00/00586 


V ' ^^?„H ten, f nt U , nder ArtiClC 35(2) WitH regard t0 n0yel ^ inventive ste P or industrial applicability 
citations and explanations supporting such statement ^' 


1 ■ Statement 






Novelty (N) 


Claims 1-7 YES 




Claims 


NO 


Inventive step (IS) 


Claims 1 — 7 YES 




Claims 


NO 


Industrial applicability (IA) 


Claims 1 — 7 yf<* 




Claims 


NO 


2. Citations and explanations 



1. Claim 1 



The invention relates to a method for the 
anonymization of sensitive data within a data 
stream. 



In the known methods for protecting databases, 
either access to the whole data base is denied or 
selective control over access to certain data is 
assigned to an administrator. 



The problem addressed by the present invention is 
that of creating a method which allows access to a 
database, but, in so doing, excludes access to 
certain data within the database, without disturbing 
the way the excluded data are assigned with respect 
to the remaining data. It should be possible to 
entrust the database to the hands of third parties 
for the processing of the non-protected data without 
control of access to the protected data being handed 
over at the same time. 



The sensitive data field within a data stream is 
first compressed and then anonymized, thus creating 

Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL^J^LIMINARY EXAMINATION REPORT^ 



International application No. 
PCT/DE 00/00586 



space. Identification of said anonymized sensitive 
data stream is then carried out by means of start 
and stop signs, said identification being necessary 
for later deanonymization of the data field. In this 
way the sensitive data within a database are 
selectively anonymized. The method as per the 
invention can be used in particular if a database 
user deposits data in a database and parts of the 
data are supposed to be processed by a database 
operator. By using the method as per the invention, 
the non-anonymized data can be evaluated and 
processed by the database operator, the 
anonymization information can remain with the 
database user and the way the data are assigned to 
each other can be upheld. 



The citations from the international search report 
do not disclose or suggest the concept underlying 
the invention. 

The subject matter of Claim 1 is therefore novel and 
inventive (PCT Article 33(2) and (3)). 



2. 



Claims 2 to 7 



Dependent Claims 2 to 7 contain further details of 
the method for the anonymization of sensitive data 
of a data stream as per Claim 1. Since said claims 
are dependent on Claim 1, they also meet the 
requirements for novelty and inventive step as per 
PCT Article 33(2) and (3). 



Form PCT/I PEA/409 (Box V) (January 1994) 



INTERNATIONAL P^ImINARY EXAMINATION REPORT 



temational application No. 
CT/DE 00/00586 



VII. Certain defects in the international application 



The following defects in the form or contents of the international application have been noted: 



A document that reflects the prior art described on 
pages 1 and 2 was not cited in the description ( PCT 
Rule 5.1(a) (ii) ) . Document US-A-5 768 391, which 
was cited in the international search report, would 
be considered to represent general prior art. 



Form PCT/IPEA/409 (Box VII) (January 1994) 



VERTRACffeER DIE INTERNATIONALE ZU AlMENARBEIT 

miF DEM GEBIET DES PATENTWESENS 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 

F00-0432.PEM 


WE (TERES siehe Mrtteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/DE 00/00586 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

02/03/2000 


(Fruhestes) Priorrtatsdatum (Tag/Monat/Jahr) 

12/03/1999 


Anmelder 

LOK LOMBARDKASSE AG et al . 



Dieser internationale Recherchenbericht wurde von der Internationalen Recherchenbehorde erstellt und wird dem Anmelder gemafi 
Artikel 18 ubermittert. Eine Kopie wird dem Internationalen Buro ubermrttelt. 

Dieser internationale Recherchenbericht umfaBt insgesamt _3 Blatter. 

PH Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berlchts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotide und/oder Amlnosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

| | in der internationalen Anmeldung in Schrrflicher Form enthalten ist. 

| | zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

| | bet der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

I | Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehart der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

I | Die Erklarung, daB die in computerlesbarer Form erfaGten Informationen dem schnftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

| | Bestlmmte Anspruche ha ben slch als nlcht recherchlerbar erwlesen (siehe Feld I). 
| | Mangelnde Elnhettllchkert der Erflndung (siehe Feld II). 



2. 

3. 



Hinsichtlich der Bezelchnung der Erflndung 

PH wird der vom Anmelder eingereichte Wortlaut genehmigt. 
| | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt. 
— wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behdrde festgesetzt. Der 
I | Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zelchnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. 4 



PH wie vom Anmelder vorgeschlagen Q keine der Abb. 

| | weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet 



Formblatt PCT/ISA/210 (Blatt 1) (Juli 1998) 



INTERNATIONAfcER RECHERCHENBERICHT 



1 



'Internationales Aktenzeichen 

PCT/DE 00/01294 



A. KLASSIFIZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 7 F16F13/30 



Nach der International en Patentklassifikation (IPK) oder nach der national en Klassifikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Recherchierter Mindestprufstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 7 F16F B60K 



Recherchrerte aber nicht zum Mindestprufstoff gehorende Veroffentlichungen, soweit diese unterdie recherchierten Gebiete fallen 



Wahrend der intemationalen Recherche konsultierte elektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegriffe) 

WPI Data, PAJ, EPO-Internal 



C. ALS WESENTLICH ANGESEHENE UMTERLAGEN 



Kategorie* Bezeichnung der Veroffentlichung, soweit erforderltch unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



EP 0 312 719 A (FREUDENBERG CARL FA) 
26. April 1989 (1989-04-26) 
Abbildungen 7,8 
Spalte 8, Zeile 43 -Spalte 9, Zeile 16 



US 5 060 919 A (TAKANO KAZUYA 
29. Oktober 1991 (1991-10-29) 
das ganze Dokument 



ET AL) 



DE 196 17 839 A (METZELER GIMETALL AG) 
13. November 1997 (1997-11-13) 
in der Anmeldung erwahnt 



□ 



Weitere Veroffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



° Besondere Kategorien von angegebenen Veroffentlichungen 
"A" Veroffentlichung, die den allgemeinen Stand der Technik definiert. 
aber nicht als besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am oder nach dem intemationalen 
An melded a turn veroffentlicht worden ist 

"L" Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Veroffentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soil oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

"O" Veroffentlichung. die sich auf eine mundliche Offenbarung, 

eine Benutzung, eine Ausstellung oderandere MaBnahmen bezieht 

"P" Veroffentlichung, die vor dem intemationalen Anmeldedatum, aber nach 
dem beanspruchten Prioritatsdatum veroffentlicht worden ist 



"T" Spatere Veroffentlichung, die nach dem intemationalen Anmeldedatum 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondem nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein aufgrund dieser Veroffentlichung nicht als neu oder auf 
erfinde rise her Tatigkeit beruhend betrachtet werden 

"Y" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer odermehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 

Veroffentlichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der intemationalen Recherche 



4. September 2000 



Absendedatum des intemationalen Recherchenberichts 



11/09/2000 



Name und Postanschrift der Intemationalen Recherchenbehdrde 

Europaisches Patentamt, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 



Beaumont, A 



Formblatt F>CT/1SA/210 (Blatt 2) (Juli 1992) 
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International Application No 

PCT/DE 00/01294 



Patent document 
cited in search report 



Publication 
date 



Patent family 
member(s) 



Publication 
date 



FP 

c r 


n^i?7iQ 

u J LC 1 17 


A 
rt 






ut 


17occ co 
51 3ooo5 


A 

A 


no nc moA 












BR 


8805433 


A 


27-06-1989 












DE 


3744916 


C 


05-03-1992 












nr 
ut 




A 

A 














ES 


2027737 


T 


16-06-1992 












JP 


1153832 


A 














JP 


2539895 


B 


02-10-1996 


us 


5060919 


A 


29- 


■10-1991 


JP 


2617715 


B 


04-06-1997 












JP 


63266237 


A 


02-11-1988 


DE 


19617839 


A 


13- 


11-1997 


NONE 









Form PCT/lSA/210 {patent family annex) (July 1992) 



INTERNATIONALER RECHERCHENBERICHT 



Internationales Aktenzeichen 

PCT/DE 00/01294 



Feld Ml 



WORTLAUT DER ZUSAMMENFASSUNG (Fortsetzung von Punkt 5 auf Blatt 1) 



Die Zusammenfassung wird wie folgt geandert: 



Ze i I e 


2: 


nach 


Zei le 


3: 


nach 


Zei le 


4: 


nach 


Zeile 


10: 


nach 


Zei le 


11: 


nach 



'Arbeitskammer" wird "(1)" eingefugt; 
'Ausgleichskammer" wird "(2)" eingefugt; 
'Uberstromkanal " wird "(8)" eingefugt; 
'Tragerschicht" wird "(10)" eingefugt; 
'Deckschichten" wird "(11,12)" eingefugt. 



Formblatt PCT/ISA/210 (Fortsetzung von Blatt 1 (2))(Juli 1998) 



VERTRAG UBER DIE INTERNATIONALE 7i iqaT^mfmarrfit aiif n|=p 

GEBIET DES PATENTWESENS 



PCT 

INTERNATIONALER VORLAUFIGER PRUFUNGSBERICHT 

(Artikel 36 und Regel 70 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 
F00-0432.PEM.ras 


siehe Mitteilung uber die Ubersendung des intemationalen 
WEITERES VORGEHEN voriaufigen Prtifungsberichts (Formblatt PCT/IPEA/416) 


Internationales Aktenzeichen 
PCT/DE00/00586 


Internationales Ann\e\6eda\un\(Tag/Monat/Jahr) 
02/03/2000 


Prioritatsdatum (Tag/Monat/Tag) 
12/03/1999 



Internationale Patentklassifikation (IPK) oder nationale Klassifikation und IPK 
H04L9/00 



Anmelder 

LOK LOMBARDKASSE AG et al. 



1 . Dieser international vorlaufige Prufungsbericht wurde von der mit der intemationalen voriaufigen Prufung beauftragten 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 iibermittelt. 



2. Dieser BERICHT umfaBt insgesamt 5 Blatter einschlief3lich dieses Deckblatts. 

□ AuBerdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich urn Blatter mit Beschreibungen, Anspruchen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Behorde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtlinien zum PCT). 

Diese Anlagen umfassen insgesamt Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 



II 


□ 


111 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 


□ 



Grundlage des Berichts 
Prioritat 

Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und gewerbliche Anwendbarkeit 
Mangelnde Einheitlichkeit der Erfindung 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

Bestimmte angefuhrte Unterlagen 

Bestimmte Mangel der intemationalen Anmeldung 

Bestimmte Bemerkungen zur intemationalen Anmeldung 



Datum der Einreichung des Antrags 



11/10/2000 



Datum der Fertigstellung dieses Berichts 



07.03.2001 



Name und Postanschrift der mit der intemationalen voriaufigen 
Prufung beauftragten Behorde: 
Europaisches Patentamt 

D-80298 Munchen 
Tel. +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 



Bevollmachtigter Bediensteter 
Bertini, S 

Tel. Nr. +49 89 2399 8985 
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Formblatt PCT/lPEA/409 (Deckblatt) (Januar 1994) 



INTERNATIONALER VORLAUFIGER 

PRUFUNGSBERICHT Internationales Aktenzeichen PCT/DE00/00586 



I. Grundlage des Berichts 

1 . Dieser Bericht wurde erstellt auf der Grundlage (Ersatzblatter, die dem Anmeldeamt auf eine Aufforderung nach 
Artikel 14 hin vorgelegt warden, gelten im Rahmen dieses Berichts ais "ursprunglich eingereicht" und sind ihm 
nicht beigefugt, weii sie keine Anderungen enthalten.): 
Beschreibung, Seiten: 

1-12 ursprungliche Fassung 



Patentanspruche, Nr.: 

1-7 ursprungliche Fassung 



Zeichnungen, Blatter: 

1/4-4/4 ursprungliche Fassung 



2. Hinsichtlich der Sprache: Alle vorstehend genannten Bestandteile standen der Behorde in der Sprache, in der 
die Internationale Anmeldung eingereicht worden ist, zur Verfugung Oder wurden in dieser eingereicht, sofern 
unter diesem Punkt nichts anderes angegeben ist. 

Die Bestandteile standen der Behorde in der Sprache: zur Verfugung bzw. wurden in dieser Sprache 
eingereicht; dabei handelt es sich urn 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen Recherche eingereicht worden ist (nach 
Regel 23.1(b)). 

□ die Veroffentlichungssprache der internationalen Anmeldung (nach Regel 48.3(b)). 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen vorlaufigen Prufung eingereicht worden 
ist (nach Regel 55.2 und/oder 55.3). 

3. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die 
internationale vorlaufige Prufung auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das: 

□ in der internationalen Anmeldung in schriftlicher Form enthalten ist. 

□ zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

□ Die Erklarung, daG das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den 
Offenbarungsgehalt der internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

□ Die Erklarung, da3 die in computerlesbarer Form erfassten Informationen dem schriftlichen 
Sequenzprotokoll entsprechen, wurde vorgelegt. 

4. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 



Formblatt PCT/IPEA/409 (Felder l-VIII, Blatt 1) (Juli 1998) 



• 



INTERNATIONALER VORLAUFIGER 

PRUFUNGSBERICHT Internationales Aktenzeichen PCT/DE00/00586 



□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

5. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 

angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)). 

(Auf Ersatzblatter, die sofche Anderungen enthalten, ist unterPunkt 1 hinzuweisen;sie sind diesem Bericht 
beizufugen). 

6. Etwaige zusatzliche Bemerkungen: 



V. Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspruche 1-7 

Nein: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1-7 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1-7 

Nein: Anspruche 



2. Unterlagen und Erklarungen 
siehe Beiblatt 

VII. Bestimmte Mangel der internationalen Anmeldung 

Es wurde festgestellt, daB die internationale Anmeldung nach Form Oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 



Formblatt PCT/IPEA/409 (Felder l-Vlll, Btatt2) (Juli 1998) 




INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/DE00/00586 
PRUFUNGSBERICHT - BEIBLATT 

V. BEGRUNDETE FESTSTELLUNG NACH ARTIKEL 35 (2) HINSICHTLICH DER NEUHEIT, DER 
ERFINDERISCHEN TATIGKEIT UND DER GEWERBLICHEN ANWENDBARKEIT; UNTERLAGEN UND 
ERKLARUNGEN ZUR STUTZUNG DIESER FESTSTELLUNG 

1. Anspruch 1 

Die Erfindung bezieht sich auf ein Verfahren zur Anonymisierung sensibler Daten 
innerhalb eines Datenstroms. 

Bei den bekannten Verfahren zum Schutz von Datenbanken wird entweder der 
Zugriff auf die gesamte Datenbank unterbunden oder die selektive Kontrolle uber 
den Zugriff auf bestimmte Daten einem Administrator unterstellt. Grundsatzlich 
ware der Zugriff somit auch auf sensible Daten moglich. 

Die Aufgabe der vorliegenden Erfindung ist ein Verfahren zu schaffen, welches 
den Zugriff auf eine Datenbank ermoglicht, dabei aber bestimmte Daten innerhalb 
dieser Datenbank vom Zugriff ausschlieBt, ohne die Zuordnung der 
ausgeschlossenen Daten zu den restlichen Daten zu zerstoren. Die Datenbank 
soli zur Bearbeitung der nicht geschutzten Daten in dritte Hande gegeben werden 
konnen, ohne daB die Zugriffskontrolle auf die geschutzten Daten aus der Hand 
gegeben wird. 

Das sensible Datenfeld innerhalb eines Datenstroms wird zuerst komprimiert und 
dann anonymisiert; somit wird Platz geschaffen. Danach wird eine Kennzeichnung 
dieses anonymisierten sensiblen Datenfeldes innerhalb des Datenstroms durch 
Start- und Stoppzeichen durchgefuhrt, welche zur spateren Deanonymisierung 
des Datenfeldes notwendig ist. Somit werden die sensiblen Daten innerhalb einer 
Datenbank selektiv anonymisiert. Das erfindungsgemaBe Verfahren kann 
insbesondere eingesetzt werden, wenn ein Datenbanknutzer Daten in einer 
Datenbank ablegt, und Teile der Daten durch einen Datenbankbetreiber 
bearbeitet werden sollen. Durch das erfindungsgemaBe Verfahren, konnen die 
nicht anonymisierten Daten vom Datenbankbetreiber ausgewertet und bearbeitet 
werden, die Anonymisierungsinformation beim Datenbanknutzer verbleiben und 
dazu kann die Zuordnung der Daten zueinander erhalten bleiben. 

Das Anmeldungskonzept wird durch die im Internationalen Recherchenbericht 
genannten Druckschriften weder offenbart noch nahegelegt. 



Formblatt PCT/Beibtatt/409 (Blatt 1) (EPA- April 1997) 



* 



INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/DE00/00586 
PRUFUNGSBERICHT - BEIBLATT 

Der Gegenstand des Anspruchs 1 ist daher neu und erfinderisch (Artikel 33 (2) 
und (3) PCT). 

2. Anspruche 2 bis 7 

Die abhangigen Anspruche 2 bis 7 enthalten weitere Details des Verfahrens zur 
Anonymisierung sensibler Daten eines Datenstroms gema3 Anspruch 1 . Da sie 
vom Anspruch 1 abhangig sind, erfullen auch sie die Erfordernisse gemaG PCT 
(Artikel 33 (2) und (3)) bezuglich Neuheit und erfinderischer Tatigkeit. 

VII. Bestimmte Mangel der internationalen Anmeldung 

1 . Ein Dokument, das den auf Seiten 1 und 2 beschriebenen Stand der Technik 

widerspiegelt, wurde in der Beschreibung nicht angegeben (Regel 5.1 a) ii) PCT). 
Als allgemeiner Stand der Technik ware das im Internationalen 
Recherchenbericht zitierte Dokument US-A-5 768 391 anzugeben. 



Formblatt PCT/Beiblatt/409 (Blatt2) (EPA- April 1997) 



Pf^T WELTORGANISATION FOR GEISTIGES E1GE 

A X Intern ation ales BOro 

INTERNATIONALE ANMELDUNG VEROFFENTLICHT NACH DEM VERTRAG OBER DIE 
INTERNATIONALE ZUSAMMENARBEIT AUF DEM GEBIET DES PATENTWESENS (PCT) 



(51) Internationale Patentklassifikation 7 : 
H04L 9/00 



A2 



(11) Internationale VerofTentlichungsnummer: WO 00/56005 

21. September 2000 (21.09.00) 



(43) Internationales 

VerofTentlichungsdatum 



(21) Internationales Aktenzeichen: PCT/DE00/OO586 

(22) Internationales Anmeldedatum: 2. Marz 2000 (02.03.00) 



(30) Prioritatsdaten: 
199 11 176.6 



12. Marz 1999 (12.03.99) 



DE 



(71) Anmelder (fur alle Bestimmungsstaaten ausser US): LOK 

LOMBARDKASSE AG [DE/DE]; Grtlneburgweg 102, 
E>-60323 Frankfurt am Main (DE). 

(72) Erfinder; und 

(75) Erfinder/Anmelder (nur fur US): NEHL, Roland [DE/DE]; 
Wiesenstrasse 33, D-35789 Weilmunster (DE). 

(74) Anwalt: MAHLER, Peter, Feddersen Laule Ewerwahn 
Scherzberg Finkelnburg Clemm, Jungfernstieg 51, D-20354 
Hamburg (DE). 



(81) Bestimmungsstaaten: CA, JP, US, europaisches Patent (AT, 
BE, CH, CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, 
MC, NL, PT, SE). 



Veroffentlicht 

Ohne inltrnuliunalen Recherchenbcricht und erneut zu 
verbffenilichen nach Erhalt des Berichts. 



(54) Title: ANONYMIZATION METHOD 

(54) Bezeichnung: ANONYMISIERUNGSVERFAHREN 



QUANTITY START 
SIGN 



ENCRYPTED DATA FIELD 



STOP 
SIGN 



Mange 
Startzeichen 



VerschiUsseltes Datenfeld 



SchlQssel- 
k Nummer 



I Codierter 
j Initialiserungs 
I S vektor 



Geheimtext 



Komprimiertes Datenfeld 



Stoppzelchen 



VerschlOaselungs- 
verfahren 

ENCRYPTION 
METHOD 



A. .KEY NUMBER 

B. ..CODED INITIALIZATION VECTOR 

C. ..SECRETTEXT 
□...COMPRESSED DATA FIELD 



(57) Abstract 



The invention relates to a method for rendering anonymous sensitive data within a data stream. The invention provides a method 
which comprises the following steps: Compressing the sensitive data field; rendering anonymous the sensitive data field, and distinguishing 
the anonym ized sensitive data field within the data stream by means of start and stop signs. 




(57) Zusamrnenfassung 

Die Erfindung betrifft ein Verfahrcn zur Anonymisierung sensibler Datcn innerhalb eines Datenstroms. ErfindungsgemaB wird 
ein Verfahren vorgeschlagen, das die Schritte Komprimierung des sensiblen Datenfeldes, Anonymisierung des sensiblen Datenfeldes und 
Kennzeichnung des anonymisierten sensiblen Datenfeldes innerhalb des Datenstroms durch Start- und Stopzeichen umfaBt. 



LED1GLICH ZUR INFORMATION 

Codes zur Identifizierung von PCT-Vertragsstaaten auf den Kopfbbgen der Schriften, die intemationale Anmeldungen gemSss dem 
PCT verdffentlichen. 
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BA 
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GE 


Georgien 


MD 
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TG 


Togo 


DB 
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GH 
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MG 


Madagaskar 


TJ 


Tadschikistan 


BE 


Belgien 


GN 


Guinea 


MK 


Die ehemalige jugoslawische 


TM 


Turkmenistan 


BF 


Burkina Faso 


GR 


Griechenland 




Republik Mazedonien 


TR 


Tttrkei 


BG 


Bulgarian 


HU 
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ML 
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TT 


Trinidad und Tobago 


BJ 
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IE 
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MN 
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UA 


Ukraine 


BR 


Brasilien 


II. 




MK 


Mauretanien 


UG 
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BY 


Belarus 


IS 


Island 


MW 


Malawi 


US 


Vereinigte Staaten von 


CA 


Kanada 


IT 


Italien 


MX 


Mexiko 




Arnerika 


CF 


Zentralafrilcanische Republik 


JP 


Japan 


NE 


Niger 


UZ 


Usbekistan 


CC 


Kongo 


KE 


Kenia 


NL 


Niederlande 


VN 


Vietnam 


CH 


Schweit 


KG 


Kirgisistan 


NO 


Norwegen 


YU 


Jugoslawicn 


CI 


C6te d'lvoire 


KP 


Demokratische Volksrepublik 


NZ 


Neuseeland 


ZW 


Zimbabwe 


CM 


Kamerun 




Korea 


PL 


Polen 






CN 


China 


KR 


Republik Korea 


PT 


Portugal 






cu 


Kuba 


KZ 


Kasachstan 


RO 


Rumanien 






cz 


Tschechische Republik 


LC 


Si. Lucia 


RU 


Russischc Federation 






DB 


DeuUchland 


LI 


Liechtenstein 


SD 


Sudan 






UK 


Danemarlc 


LK 


Sri Lanka 


SE 


Schweden 






EE 


Esiland 


LR 


Liberia 


SG 


Singapur 
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Anonymisierungsverfahren 



Die Erfindung betrifft ein Verfahren zur Anonymisierung sensibler Daten innerhalb 
eines Datenstroms. 

5 In Datenbanken werden Informationen zur langfristigen Aufbewahrung gespeichert. 
Der Wert solcher Informationssammlungen wird als wesentliches Gut von 
Organisationen angesehen. Aufgrund der Sensitivitat wird im allgemeinen der Zugriff 
auf Datenbanken beschrankt, d.h. da(i der Zugriff nur fur autorisierte Anwender gemafi 
deren Rechteprofil moglich ist. In einem Rechteprofil kann festgelegt werden, wer auf 

10 welche Daten mit welchen Modi (z.B. lesend, schreibend) zugreifen kann. Ein 
gangiges Beispiel ist, dafi nicht jeder Mitarbeiter eines Unternehmens Personaldaten 
einsehen kann. Auch gemafi dem „Need to know"-Prinzip konnen Mitarbeiter 
ausschliefilich die Informationen einsehen, die sie zur AusQbung ihrer dienstlichen 
TStigkeiten benotigen. Alle weiteren Informationen sind gesperrt. Fur die Vergabe der 

15 Zugriffsrechte ist ein Administrator zustandig, von dessen Zuverlassigkeit der 
Datenschutz im wesentlichen abhangt 

Zur Datensicherung werden haufig Anonymisierungsverfahren eingesetzt, die 
diejenigen Daten, auf die kein Zugriff erfolgen soil, anonymisieren. Solche Verfahren 
werden insbesondere verwendet, wenn Daten einer Datenbank in Form eines 

20 Datenstroms ubermittelt werden sollen, wobei sichergestellt werden mufi, dafi auf dem 
Ubermittlungsweg kein unberechtigter Zugriff auf die Daten erfolgt. Ein 
Anwendungsbeispiel hierfur ist die Versendung eines Datenstroms per E-Mail. Dabei 
haben Sender und Empfanger voile Zugriffsrechte auf alle in der Datenbank 
enthaltenen Daten. Die Daten werden vor Absendung verschlusselt, so dafi Angreifer 

25 innerhalb des Internets keinen Zugriff auf die Daten nehmen konnen. Der Empfanger 
entschlusselt die Daten und kann vollstandigen Zugriff darauf nehmen. 

Bei den bekannten Verfahren zum Schutz von Datenbanken wird die Autorisierung und 
Rechteprtifung typischerweise am Datenbank-Front End realisiert. Dies trifft z.B. fur 
DB2™ von IBM zu. Wird ein hoheres Niveau bzgl. des Zugriffsschutzes gefordert, so 
30 glbt es kommerzielle Produkte, wie z.B. RACF™ (Ressource Access Control Facility) 
von IBM. Die Zugriffskontrolle wird jedoch auch hier von einem Administrator 
kontrolllert. 

Eine klassische Situation, in der die herkdmmlichen Verfahren unzureichend sind, ist 
eine Outsourcer/lnsourcer-Beziehung. Ein Outsourcer lalit bestimmte Dienste durch 
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einen Insourcer erbringen und ubergibt dem Insourcer alle dafur notwendigen Daten, 
die beim Insourcer in einer Datenbank gespeichert werden. Wenn der Outsourcer aus 
DatenschutzgrOnden oder aus Griinden des Kundenschutzes die Weitergabe von 
kundenidentifizierenden Daten eigenstandig kontrollieren will, wird mit den bekannten 
5 Anonymisierungsverfahren entweder der Zugriff auf die gesamte Datenbank 
unterbunden oder die selektive Kontrolle uber den Zugriff auf bestimmte Daten einem 
Administrator unterstellt, der im dem Hause des Insourcers angesiedelt ist. 
Grundsatzlich ware der Zugriff somit auch auf sensible Daten moglich. 

Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren zur Verfugung zu stellen, 
10 das den Zugriff auf eine Datenbank ermoglicht, dabei aber bestimmte Daten innerhalb 
dieser Datenbank vom Zugriff ausschliefct, ohne die Zuordnung der ausgeschlossenen 
Daten zu den restlichen Daten zu zerstoren. Die Datenbank soil zur Bearbeitung der 
nicht geschutzten Daten in dritte Hande gegeben werden konnen, ohne dad die 
Zugriffskontrolle auf die geschutzten Daten aus der Hand gegeben wird. 

15 Erfindungsgemaft wird ein Verfahren zur Anonymisierung sensibler Daten innerhalb 
eines Datenstroms mit folgenden Schritten vorgeschlagen: 

a) Komprimierung des sensiblen Datenfeldes 

b) Anonymisierung des sensiblen Datenfelds; 

c) Kennzeichnung des anonymisierten sensiblen Datenfelds innerhalb des 
20 Datenstroms durch Start- und Stoppzeichen. 

Erfindungsgemaft werden die sensiblen Daten innerhalb einer Datenbank selektiv 
anonymisiert. Die anonymisierten Datenfelder werden mit einem Start- und einem 
Stoppzeichen versehen, urn sie fur die spatere Deanonymisierung kenntlich zu 
machen. 

25 Das erfindungsgemalie Verfahren kann insbesondere eingesetzt werden, wenn ein 
Datenbanknutzer Daten in einer Datenbank ablegt, und Teile der Daten durch einen 
Datenbankbetreiber bearbeitet werden sollen. WShrend der Datenbanknutzer 
autorisiert ist, samtliche Daten zu lesen, sollen sensible Daten, wie z. B. 
kundenidentlfizierende Informationen, fur den Datenbankbetreiber anonymisiert und 

30 nicht deanonymisierbar sein. Die Anonymisierungsinformation verbleibt beim 
Datenbanknutzer. Die nicht anonymisierten Daten konnen vom Datenbankbetreiber 
ausgewertet und bearbeitet werden. Die Zuordnung der Daten zueinander bleibt 
erhalten. 
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Die sensiblen Daten kbnnen beispielsweise kundenidentifizierende Informationen sein, 
wobei die dem Kunden zugeordneten Daten zwecks statistischer Auswertung lesbar 
sein sollen. Die Datenbank kann mit dem erfindungsgemaften Anonymisierungs- 
verfahren partiell anonymisiert und an Dritte zur statistischen Auswertung und 

5 Bearbeitung weitergegeben werden. Die kundenidentifizierenden Daten sind fur den 
Dritten nicht lesbar. Die Kontrolle daruber, welche Zugriffsrechte fur welche Personen 
bestehen, verbleibt beim Datenbanknutzer. Die Zuordnung zwischen den bearbeiteten 
Daten und den jeweiligen anonymisierten Daten, wie Kundennamen, bleibt erhalten. 
Nach Ruckgabe der ausgewerteten oder bearbeiteten Datenbank an den 

10 Datenbanknutzer kann dieser die Deanonymisierung vornehmen und die vollstandige, 
bearbeitete Datenbank nutzen. 

Das erfindungsgemafte Verfahren laftt sich insbesondere auch dann vorteilhaft 
anwenden, wenn die sensiblen Datenfelder eine vorgegebene Feldlange aufweisen. Es 
versteht sich aber von selbst. daft das Verfahren ohne Einschrankung auch bei 
15 unbegrenzten Feldlangen entsprechend anwendbar ist. Auch wenn sich die 
nachfolgenden Ausfiihrungen vermehrt auf sensible Datenfelder vorgegebener 
Feldlange beziehen, ist dies nicht einschrankend zu verstehen. 

Vorteilhaft kann vor der Anonymisierung des sensiblen Datenfeldes eine 
Komprimierung der Daten vorgenommen werden. Im Falle der vollstandigen Fullung 
20 des Datenfeldes wird auf diesem Wege Piatz fur die Hinzufiigung von Start- und 
Stoppzeichen zur Kennzeichnung des anonymisierten Datenfeldes geschaffen. Die 
Kennzeichnung ist notwendig zur spateren Deanonymisierung des Datenfeldes. 

Ist das Datenfeld ohnehin nicht vollstandig gefQIlt, oder sind die Daten durch die 
Komprimierung soweit komprimiert, daft noch Platz im Datenfeld verbleibt, kann das 
25 Datenfeld vor der Anonymisierung durch Fullzeichen aufgefOllt werden. 

Es stehen insbesondere zwei Moglichkeiten zur Anonymisierung des Datenfeldes zur 
Verfugung, namlich die Pseudonymisierung und die VerschlQsselung. 

Ist das Datenfeld vollstandig gefullt, wird vorzugsweise eine Pseudonymisierung 
vorgenommen. Dabei muft die Lange des verwendeten Pseudonyms so gewahlt 
30 werden, daft im Datenfeld nach der Pseudonymisierung Platz fur Start- und 
Stoppzeichen verbleibt. 

Verbleibt innerhalb des Datenfeldes noch Platz, so wird das Datenfeld vorzugsweise 
durch Fullzeichen, insbesondere mit zufalligen Werten, zumindest teilweise aufgefOllt 
und anschlieftend verschliisselt. 
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Die Auffullung des Feldes mit zufailigen Werten sichert die Aufldsung von Isonomien. 
Beispielsweise ist es erfordertich, daft haufig auftretende Namen, wie irn deutschen 
Sprachraum MGIIer, Meier usw. verschieden verschlusselt werden, damit uber eine 
Analyse der Haufigkeit der Daten keine Ruckschlusse auf die Daten gezogen werden 
5 kann. Dies wird mit der AuffQIIung des Datenfeldes durch zufallige Werte und 
anschlieftende Verschlusselung erreicht. 

In einer bevorzugten Ausfuhrungsform des erfindungsgemaften Verfahrens werden im 
verschliisselten Datenfeld auch Informationen uber den zur Verschlusselung 
verwendeten Schlussel abgelegt. Diese Schlusselinformationen dienen dem 

10 Datenbanknutzer dazu, die verschlusselten Daten entschlusseln zu konnen. Auf 
diesem Wege konnen verschiedene Schlussel zur Verschlusselung der Daten 
verwendet werden, wobei jeweils innerhalb des Feldes die entsprechenden 
Schlusselinformationen zur Identifizierung des Schlussels abgelegt werden. Es 
versteht sich von selbst, daft der Fullgrad des Feldes so beschaffen oder durch 

15 Datenkompression erzeugt werden muft, daft Platz zum Ablegen einer 
Schlusselinformation verbleibt. 

Das Erkennen, welche Daten zu ver- bzw. entschlusseln sind, kann durch eindeutige 
Kennzeichnung durch sogenannte Start- und Stoppzeichen, wie z.B. „f und J" 
realisiert werden. Diese Start- und Stoppzeichen dOrfen im betroffenen System aufter 
20 zur Kennzeichnung verschlusselter Daten nicht vewendet werden. Dieser Ansatz hat 
den Vorteil, daft er unabhangig von den Anwendungen, die auf den Daten operieren, 
ist. 

Gibt es im betrachteten System kein einziges eindeutiges Startzeichen, kann eine 
Menge von Startzeichen verwendet werden. Gleiches gilt fur das Stoppzeichen. Im 
25 einfachsten Fall konnte die Menge der Startzeichen aus einem Zeichen bestehen, 
welches mit dem Stoppzeichen identisch ist. Dies hat allerdings wiederum den 
Nachteil, daft eine Synchronisierung in einem Fehlerfall alleine aufgrund der Kenntnis 
von Start- und Stoppzeichen nicht mehr moglich ist. 

Das erfindungsgemafte Verfahren wird im folgenden anhand von verschiedenen 
30 Beispielen mit Bezug auf die beigefugten Abbildungen naher eriautert: 

Fig. 1 zeigt die Kennzeichnung von sensiblen, zu anonymisierenden Daten; 

Fig. 2 zeigt das Ablaufschema einer Ver- bzw. EntschlQsselung; 

Fig. 3 zeigt den Ablauf eines VerschlOsselungsprozesses; 
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Fig. 4 zeigt die Struktur eines verschlusselten Datenfeldes; 

Fig. 5 zeigt den Ablauf eines Entschlusselungsprozesses. 

Das Anonymisierungsverfahren soil folgende Anforderungen erfullen: 

1. Haufig vorkommende Daten (z.B. die haufig auftretenden Namen MOIIer, Meier 
5 usw. im deutschen Sprachraum) sollen verschieden verschlQsselt werden. 

Dadurch soil verhindert werden, dafi Qber die Analyse der Haufigkeit von Daten 
Schlusse auf die Daten selbst gezogen werden konnen. Die Isonomien der 
Daten sollen aufgelost werden. 

2. Die Lange eines zu verschlOsselndes Datenfelds ist durch eine fixe, maximale 
10 Lange beschrankt, die im wesentlichen durch das Datenbank-Design 

vorgegeben ist. Feldtypen, z.B. numerisch Oder alphanumerisch dCirfen nicht 
verandert werden. Diese Anforderung ermoglicht eine nachtragliche Integration 
des Verfahrens, ohne dall ein Betreiber eines Datenbanksystems seine 
Anwendungen zur Verarbeitung der Daten verandern mufi. 

15 3. Jedes verschlOsselte Datenfeld enthalt alle Informationen aufler Schlussel und 
systemweite Parameter zur Entschlusselung. Ein autarkes Verarbeiten jedes 
Datenfeldes ist deshalb moglich. 

Die vorgenannten drei Eigenschaften sollen von dem gewahlten 
Anonymisierungsverfahren gleichzeitig erfQIlt werden. 

20 Zur Durchfuhrung des Verfahrens wird das zu anonymisierende Datenfeld zunachst 
auf seinen FQIIgrad hin Oberpruft. Es mufi sichergestellt werden, dafi nach der 
VerschlQsselung noch geniigend Platz innerhalb der vorgegebenen festen 
Datenfeldlange verbleibt, urn ein Start- sowie ein Stoppzeichen und eine Information 
fur den verwendeten Schlussel abzulegen. 

25 Ist der Fullgrad des Datenfeldes zu groB urn eine VerschlQsselung mit den 
vorgenannten Kriterien durchfuhren zu konnen, wird das Datenfeld zunachst 
komprimiert. FQhrt auch die Komprimierung des Datenfeldes nicht zu einer hinreichend 
kleinen Feldgrolie, erfolgt die Pseudonymisierung. Das Pseudonym muB so gewahlt 
werden, daft die oben unter 2.) vorgegebene Bedingung hinsichtlich des 

30 FOIIungsgrades des Datenfeldes erfQIlt wird. 

Ist der Fullgrad des Datenfeldes hinreichend gering, urn eine VerschlQsselung des 
Datenfeldes zu erm6glichen, wird die VerschlQsselung vorgenommen. Dafur wird das 
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Datenfeld zunachst bis zum maximal moglichen Fullgrad mit zufalligen Werten 
aufgefullt. 

Bei geringem Informationsgehalt des Datenfelds kann vor der AuffQIIung eine 
Datenkomprimierung vorgenommen werden, um Isonomien besser auflSsen zu 
5 konnen. 

AnschlieBend wird die Verschliisselung vorgenommen. Der verwendete 
Verschlusselungsalgorithmus kann beliebig gewahlt werden. Gangige Algorithmen sind 
z.B. IDEA (International Data Encryption Algorithm) Oder DES (Data Encryption 
Standard). 

10 Das verschlusselte Datenfeld wird dann mit einem Start- und einem Stoppzeichen 
gekennzeichnet. Aulierdem wird im Datenfeld an einer vorher defmierten Position eine 
Information uberden zur Verschliisselung verwendeten SchlQssel abgelegt. 

Das nachfolgende Beispiel soil das Verfahren veranschaulichen: 

Die Datenfeldlange betragt 40 Zeichen. Inhalt des unverschliisselten Datenfeldes ist 
15 der Name „Meier". Als Startzeichen dient „{", als Stoppzeichen „}". Das Datenfeld wird 
auf die voile Feldlange aufgefDIlt und mit Start- und Stoppzeichen versehen, also: 



An das Verfahren werden die 40 Zeichen zwischen den Start- und Stoppzeichen 
ubergeben. Die Verschlusselung ergibt dann ein 40 Zeichen langes Datenfeld 
20 einschliefilich Start- und Stoppzeichen, also z.B.: 



In den verschliisselten Datenfeldern sind k Bits zur Kennzeichnung des verwendeten 
SchlOssels aus einem Schlusselsatz vorgesehen. Somit ist es moglich, 2 K 
verschiedene SchlQssel darzustellen. Durch die Aufnahme von Zusatzinformationen in 
25 die verschlusselten Datenfelder, wie z.B. Menge von Start- und von Stoppzeichen, 
Schliisselbits und Informationen iiber den verwendeten Initialisierungssektor fur den 
VerschlCisselungsalgorithmus ist eine Komprimierung der zu verschlusselnden 
Datenfelder notwendig. 

In der beigefQgten Fig. 2 ist die Ver- bzw. EntschlOsselung von Datenfeldern 
30 dargestellt. Die einzelnen Schritte werden nachfolgend naher eriautert. 



{Meier. 



{ch74nHhdjqa 



yjas8}. 



Die Beschreibung des Verfahrens geht von den folgenden Voraussetzungen aus: 
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- Jedes Zeichen wird durch ein Byte dargestellt (z.B. ASCII- oder EBCDIC- 
Code). Vor der Ver- bzw. EntschlGsselung werden alle Zeichen eines Feldes in 
einen internen Zeichensatz (ASCII) umgewandelt und danach wieder 
entsprechend konvertiert. 

5 - Die unterschiedlichen Parameter sind wie folgt festgelegt: 

1 . einen Zeichensatz (z.B. 91 bestimmte Zeichen des EBCDIC-Codes); 

2. eine Menge der Startzeichen und Stoppzeichen fur verschlusselte 
Datenfelder, die nicht im Zeichensatz enthalten sind; 

3. ein Ersatzzeichen fur nicht zum Zeichensatz gehorende Zeichen (ist 
10 Bestandteil des Zeichensatzes); 

4. ggf. notwendige Fullzeichen (ist Bestandteil des Zeichensatzes); 

5. Verfahrensparameter fur die Kompression; 

6. Angaben daruber, wie bei nicht erfolgreicher Komprimierung das 
ursprungliche Datenfeld nachverarbeitet werden soil; 

1 5 7. Angaben zur Darstellung von Bitfolgen als Folgen zulassiger Zeichen; 

8. Angaben daruber, welcher der Schlussel aus dem Schiusselsatz 
verwendet werden soli. 

In Abhangigkeit von der Machtigkeit des Zeichensatzes lassen sich einzelne 
Bitsegmente jeweils zu Zeichenfolgen einer bestimmten Lange umformen (zum 
20 Beispiel konnen bei einem Zeichensatz von 91 Zeichen je 13 Bit in je 2 Zeichen 
effektiv umgeformt werden). Optimal ware eine w gemeinsame u Umformung der 
gesamten Bitfolge durch Betrachtung der Folge als Binarzahl und Darstellung dieser 
Zahl zur Basis b = Machtigkeit des Zeichensatzes. 

Im folgenden wird ein Verfahren zur effektiven Codierung einer moglichst grolien 
25 Bitfolge in ein Datenfeld einer vorgegebenen Lange beschrieben, das fur eine 
Implementierung auf Systemen mit 32-Bit-Prozessoren vorgesehen ist. Zunachst wird 
fur einen gegebenen Zeichensatz vom Umfang b vor der Grundinitialisierung einmalig 
folgendes berechnet (Jn 11 bezeichnet hierbei den naturlichen Logarithmus): 

• Bestimmung des Minimalwertes von x/y fQr ganzzahliges y von 1 bis 32 und 
30 ganzzahliges x £ y * ln(2)/ln(/>). 

Beispiel: Bei b = 91 erhSIt man ein Minimum bei x = 2 und y = 13. 
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• Fur alle Werte x' von 1 bis x-1 wird das jeweilige ganzzahlige Maximum y' (x) mit 
y'(xO * ln(2)/ln(bj <x'berechnet. Aufierdem wird y'(0) := 0 gesetzt. 

Beispiel: Bei b = 91 und x = 2 erhalt man /(1 ) = 6. 

Es laBt sich nun folgendermafien eine Bitfolge in ein Datenfeld der Lange d umformen: 

5 1 . Umformung von je y Bit in je x Zeichen. 

Beispiel: Bei b = 91 werden je 13 Bit durch je 2 Zeichen dargestellt. 

2. Falls die gegebene Datenfeldlange d nicht durch x teilbar ist, dann werden 
y'(xO Bit in die restlichen x' Zeichen umgeformt. Im Beispiel werden noch 6 Bit 
durch ein Zeichen dargestellt. 

10 Sei s die Anzahl der verwendeten Startzeichen in den verschlusselten Datenfeldem 
und 

L(d,b,$) = L = ((d - s - 1 ) DIV x)*y + y\{d - s - 1 ) MOD x) 

die Anzahl der Bits, die sich durch Anwendung des obigen Verfahrens in ein Datenfeld 
der Lange (d - s - 1) umformen lassen. Der Wert (d - s - 1) resultiert daraus, dafi im 
15 verschlusselten Datenfeld die Menge der Startzeichen der Lange s und das 

* Stoppzeichen enthalten sein mussen. 

Bei d = 30, b = 91 und s =1 erhalt man zum Beispiel L = 14 * 13 + 0 =182, 
bei d = 15, b = 91 und s =3 ergibt sich L = 5 * 13 + y'(1) = 65 + 6 = 71. 

m = (L - k - Lange komprimierte Bitfolge) sei, die nach der Kompression noch zur 
20 Verfugung stehenden Bits, k Bits sind fur die Nummer des verwendeten Schlussels 
vorgesehen. Fur die Kompression konnen die verschiedensten Methoden eingesetzt 
werden. In AbhSngigkeit von dieser Zahl m wird festgelegt, wie der 
Initialisierungsvektor fur die Verschlusselung bereitgestellt und codiert wird. 

Die geeignete Wahl des Initialisierungsvektors sorgt dafur, dafi Isonomien aufgelost 
25 werden. Es gibt hierfur prinzipiell die folgeriden Moglichkeiten, die eingesetzt werden 
konnen: 

• Verwendung von Zufallszahlen 

• Verwendung von Zahlern. 

Zeitlich gestaffelt kOnnen verschiedene SchlOssel des aus k Schlusseln bestehenden 
30 Schliisselsatzes eingesetzt werden. Bei der Verschllisselung ist festzulegen, welcher 
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dieser Schlussel verwendet werden soil. Die Schlusselnummer wird durch k Bits 
kodiert. 

Wenn die aus k Bits fur die Nummer des Schlussels, den Bits fOr die Codierung des 
Initialisierungsvektors und den Bits des komprimierten Datenfetdes bestehende 
5 Bitfolge kdrzer a!s erforderlich sein sollte, d.h. kleiner als L ist, so wird sie am Ende mit 
Bits „0" aufgefGllt, bis die maximal zulassige Bitlange L erreicht ist 

VerschlQsselt wird der komprimierte Datenfeldinhalt. 

Die Verschlusselung kann mit einem Blockverschlusselungsalgorithmus erfolgen und 
dem gespeicherten geheimen Schlussel im CBC-Modus, wobei der letzte Block der 
10 Lange j (falls diese kurzer als 64 Bit ist) im CFB-Modus verschlusselt wird (siehe 
z.B.ISO/lEC 10116, Informations Technologie - Modes of Operation for ann-bit Block 
Cipher Algorithm, 1991). 

Bei der Betrachtung wird davon ausgegangen, daft die typische Blocklange von 64 
verwendet wird. Eine Verallgemeinerung auf andere Blocklangen ist offensichtlich. 
15 Eine andere Variante, die sog. Stromverschlusselungsalgorithmen, konnten direkt zur 
zeichenweisen VerschlOsselung eingesetzt werden. 

Zur Bildung des verschlusselten Datenfeldes wird schlieftlich die erhaltene 
Zeichenfolge zwischen der Menge Startzeichen und dem Stoppzeichen eingefugt. 

Sobald im Datenstrom die Startzeichenfolge erkannt wird, werden die nachfolgenden 
20 Zeichen in einen internen Speicher gegeben, bis das Stoppzeichen erscheint 

Falls sich unter den nachfolgenden Zeichen die Startzeichenfolge befindet, wird der 
Prozeft der Einspeicherung abgebrochen und bei der neuen Startzeichenfolge 
begonnen. Falls nach einer vorgegebenen Maximallange noch kein Stoppzeichen 
festgestellt wurde, wird der Prozeft ebenfalls abgebrochen und es wird erneut nach der 
25 nachsten Startzeichenfolge gesucht. Falls zwischen der Menge Startzeichen und dem 
Stoppzeichen weniger als eine vordefinierte untere Schranke Zeichen sind, wird die 
Einspeicherung ebenfalls abgebrochen. 

Nicht jedes Datenfeld kann so stark komprimiert werden, daft die angestrebte Anzahl 
Bits fur den Initialisierungsvektor zur Verfugung steht. Je kurzer die Datensatzlange ist, 
30 desto schlechter ist die Komprimierung, mit der Konsequenz, daft weniger Bits fur den 
Initialisierungsvektor zur Verfugung stehen und somit weniger Moglichkeiten 
verschiedene Chiffrate fQr ein Datenfeld zu erzeugen. 

In einem solchen Fall gibt es prinzipiell die folgenden drei MOglichkeiten fortzufahren: 
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1. Kurzung des Datenfeldes bis eine ausreichende Komprimieaing erreicht 
werden kann. Dies ist aber zwangslaufig mit Informationsverlust verbunden. 

2. Das betroffene Datenfeldes wird nicht verschlQsselt, es wird somit in Klartext 
bleiben. Dies kann moglicherweise akzeptabel sein, falls dies im Verhaltnis zu 

5 der gesamten Menge zu verschlusselten Datenfelder sehr selten vorkommt. 

3. Verwendung des Pseudonymisierungsansatzes, dieser wird im folgenden 
beschrieben. 

Bei vorgegebener fester Feldlange, kann der Fall eintreten, daft keine ausreichende 
Komprimierung der DatensStze erreicht werden kann. Ist eine Kurzung Oder das 
10 Weiterleiten in Klartext nicht akzeptabel, so kann die vollstandige "Verschleierung" 
aller ausgewahlten Datensatze, durch den Pseudonymisierungsansatz realisiert 
werden. 

Analog zu einem Alias, erfolgt eine Verknupfung von Datenfeldern und Pseudonymen 
und vice versa. Die Informationen werden in einer Tabelle gehalten. 

15 Leutheusser-Schnarrenberger <-> X1BXE H 

Garmisch-Partenkirchen <-> X2BXD9 Z 

Falls die Pseudonymisierung an mehreren raumlich getrennten Orten notwendig ist, 
mQssen die an alien Standorten vergebenen Pseudonyme an alien anderen 
20 Standorten vorgehalten werden (Replikation). Dies bedeutet zusatzliche 
Kommunikationskosten. Es sind zusatzliche Maftnahmen zur Sicherung der 
Obertragung notwendig. 

Die Speicherung von verschlusselten Datenfeldern kann Ober l&ngere Zeitraume, z.B. 
5-15 Jahre, erfolgen. Die zeitlich gestaffelte Verwendung von mehr als einem 
25 Schlussel ist aus den folgenden Grunden ratsam: 

• Wird der Schlussel bekannt, ist die gesamte Menge der verschlusselten 
Datenfelder als offen gelegt zu betrachten. 

• Die einem Krypto-Analysten zur Verfugung stehende Menge von verschlOsselten 
Datenfeldern, ist wesentlich geringer, wenn mehrere Schlussel verwendet werden. 

30 Deshalb sieht das Verfahren pro Menge von Datenbanknutzern, die kooperieren, k 
SchlQssel vor. 
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In einem Trust Center (vertrauenswurdige dritte Instanz), welches das notwendige 
technische und organisatorische Umfeld stellt, kOnnen die Schlussel generiert werden. 

Verschiedene Mengen von Datenbanknutzern, die nicht miteinander kooperieren, 
sollten verschiedene Mengen von Schlusseln haben, die keinerlei Abhangigkeit von 
5 einander haben. So ist ausgeschlossen, daft eine Menge von Datenbanknutzern auf 
Datenbankinformationen der anderen Menge von Datenbanknutzern zugreifen kann. 

Das Key Management besteht aus folgenden Funktionen: 

1. Schlusselerzeugung 

Erzeugung eines Schlusselpaktets aus k Schlusseln. Hierfur eignet sich 
10 besonders ein Hardware Zufallszahlengenerator. . Im Nachgang der 

Schlusselerzeugung konnen die generierten Schlussel auf ein 
Schlusselaufbewahrungsmedium, z.B. eine Chip- oder PCMCIA-Karte, 
gespeichert werden. Diese Medien konnen so konfiguriert werden, daft sie die 
kryptographischen Berechnungen selbst ausfuhren oder Schlussel erst nach 
1 5 vorheriger Authentisierung herausgeben. 

2. Schlusselverteilung 

Vom Ort der Schlusselgenerierung konnen die Schlussel auf einem 
Schlusselaufbewahrungsmedium zum Einsatzort (Endgerat) oder zur sicheren 
Aufbewahrung (Back-up) transportiert werden. 

20 3. Schlussel in Endgerate einbringen 

Ein Endgerat zeichnet sich dadurch aus, daft es die notwendigen Ver- bzw. 
Entschlusselungsprozesse ausfuhren kann. Ein solches Gerat kann eine 
speziell entwickelte Hardware oder ein PC sein. Die SchlOssel konnen aus dem 
Schlusselaufbewahrungsmedium nach vorheriger Authentisierung in ein 
25 Endgerat geladen werden oder das Endgerat kann Auftrage zur Ver- und 

Entschlusselung entgegennehmen. Der letzte Fall setzt eine entsprechende 
Ressource des Schlusselaufbewahrungsmediums voraus, hat aber der Vorteil, 
daft die Schlussel nie das Schlusselaufbewahrungsmedium verlassen. 

4. Schlussel vernichten: 

30 Falls ein kooperierende Menge von Datenbanknutzern ein SchlQsselpaket aus 

k SchlQsseln nicht mehr benotigt, ist es moglich, die Schlussel durch geeignete 
Maftnahmen zu vernichten, z.B. durch Vernichtung des Schltisselauf- 
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bewahrungsmediums und Loschen des Schlusselpakets aus 
entsprechenden Endgeraten, falls vorhanden. 
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Patentanspriiche 

1 . Verfahren zur Anonymisierung sensibler Daten innerhalb eines Datenstroms 
mit den folgenden Schritten: 

a) Komprimierung des sensiblen Datenfeldes 

b) Anonymisierung des sensiblen Datenfeldes. 

c) Kennzeichnung des anonymisierten sensiblen Datenfeldes innerhalb 
des Datenstroms durch Start- und Stoppzeichen. 

2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, daft das sensible 
Datenfeld vor der Anonymisierung durch Fullzeichen aufgefOllt wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daft die zu 
anonymisierenden Daten pseudonymisiert werden. 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daft die zu 
anonymisierenden Daten verschlusselt werden. 

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daft sensible 
Datenfelder vor der Verschlusseiung zumindest teilweise mit zufalligen Werten 
aufgefOllt werden. 

6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, daft im 
verschlQsselten Datenfeld Informationen uber den zur Verschliisseiung 
verwendeten Schlussel abgelegt werden. 



7. 



Verfahren nach einem der Anspruche 1 bis 6, dadurch gekennzeichnet, daft 
das sensible Datenfeld eine feste Feldiange aufweist. 
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